Перейти к содержанию
SergeyUser

Методика оценки рисков в области ИБ и выработки рекомендаций

Recommended Posts

SergeyUser

Сегодня натолкнулся на форум anti-malware.ru, чему рад, потому как соображения ниже на сайтах антивирусных компаний писать бы не стал. Надеюсь, уровень неаффилированности участников достаточен, чтобы обсуждать проблемы более-менее объективно :) Все ниже - исключительное IMHO. Так что далее по тексту надо понимать что это мое личное мнение, я ничего не навязываю его и просто излагаю, для дальнейшего открытого обсуждения.

Кратко проблемы, как они мне видятся:

a. Не берется в расчет общий (системный) эффект использования и не использования комбинаций продуктов и методов защиты (например, степень необходимости антивирусной защиты в клиентском IS-пакете зависит от используемой системы электронной почты);

b. Риски оцениваются без учета вероятности их возникновения (например, количество сущестующих вирусов под платформу Mac OS и динамика их роста позволяет существенно снизить требования к антивирусной защите, сохранив общий уровень безопасности на том же уровне (в качестве отправной точки берем, естественно, Windows));

c. Сам пользователь и его уровень образования является существенным фактором риска, рекомендации соответственно различны и надо выделять оптимальную среду для профи и для новичков, это могут быть разные среды.

Если брать случай частного (не корпоративного) пользователя, для сравнения среду и факторы риска, ей присущие, нужно рассматривать в комбинации примерно такого вида - OS + Browser + Антивирус + Почтовый клиент. Причем заслуживают внимания, прежде всего, комбинации без использования антивирусов вообще, так как для профессиональных пользователей они часто могут давать оптимальные параметры рабочей среды (надежность, производительность, безопасность, цена). Такой подход мне видится существенно более комплексным и практически полезным.

Хочу сказать, что мой выбор рабочей среды по предлагаемой методике, для пользователей категории Профи - Mac OS X 10.5 (Leopard) + Safari + <Без установленного real-time антивируса> + Gmail (Web-based). + Еженедельное сканирование файловой системы через загрузку с CD с использованием KAV (KIS тут, соответственно, не нужен). Свои доводы в пользу среды опускаю, привожу описание как пример, основной вопрос именно в методике.

Дополнительно хочу сказать о том, что, конечно, такой подход не может быть поддержан антивирусными компаниями. Действительно, ведь они не создают операционную систему, почему они должны ее сравнивать? АВ-компании делают свой продукт, и естественно сравнивают его. Но с позиции пользователя существуют риски, и многие из них решаются другими, отличными от покупки антивирусного продукта, методами. Так что с позиции независимых экспертов по информационной безопасности, я думаю, комплексный подход должен быть именно таким, как я описал выше.

Довольно часто в рассуждениях происходит подмена понятий. Например, сравнивают надежность операционной системы как таковую. Вот взломали Mac OS X быстрее Vista на специальном соревновании. Парадокс в том, что это скорее фактор, увеличивающий надежность среды (информация ушла в Apple), но наверняка любой АВ-производитель скажет, что, мол, смотрите, все ломается, бойтесь. Соответственно, технически (архитектурно) та же Mac OS X схожа по безопасности с Windows Vista, о чем часто и говорится. Но помимо архитектуры нужно брать в расчет, например, факт распространенности зловредов и другие, не зависящие от качества написания самой операционной системы свойства, определяющие безопасность среды в целом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • Зотов Тимур
      Здравствуйте. Мне помог тренинг http://games4business.ru/product/vedenie-peregovorov . Менеджеры стали более уверены в себе, не бояться отвечать на вопросы и не впадают в панику при отказе клиента, а наоборот пытаются сделать все чтоб он передумал.Компания Лаборатория Деловых Игр качественно и профессионально составляют различные тренинги, которые действительно помогают компаниям процветать и развиваться.
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×